Partager via

Déployer Microsoft Defender pour point de terminaison manuellement sur Linux

S’applique à :

  • Microsoft Defender pour point de terminaison pour les serveurs

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Vous pouvez déployer Defender pour point de terminaison sur Linux à l’aide de différents outils et méthodes. Cet article explique comment déployer Manuellement Defender pour point de terminaison sur Linux. Pour utiliser une autre méthode, reportez-vous à la section Contenu associé.

Importante

Si vous souhaitez exécuter plusieurs solutions de sécurité côte à côte, consultez Considérations relatives aux performances, à la configuration et à la prise en charge.

Vous avez peut-être déjà configuré des exclusions de sécurité mutuelle pour les appareils intégrés à Microsoft Defender pour point de terminaison. Si vous devez toujours définir des exclusions mutuelles pour éviter les conflits, consultez Ajouter Microsoft Defender pour point de terminaison à la liste d’exclusions de votre solution existante.

Étapes de déploiement manuel

Un déploiement réussi nécessite l’exécution de toutes les tâches suivantes :

Conditions préalables et configuration système requise

Avant de commencer, consultez Prérequis pour Defender pour point de terminaison sur Linux pour obtenir une description des prérequis et de la configuration système requise pour la version actuelle du logiciel.

Avertissement

La mise à niveau de votre système d’exploitation vers une nouvelle version majeure après l’installation du produit nécessite la réinstallation du produit. Vous devez désinstaller l’application Defender pour point de terminaison existante sur Linux, mettre à niveau le système d’exploitation, puis reconfigurer Defender pour point de terminaison sur Linux en suivant les étapes décrites dans cet article.

Configurer le référentiel de logiciels Linux

Defender pour point de terminaison sur Linux peut être déployé à partir de l’un des canaux suivants (désigné comme [canal]) : insiders-fast, insiders-slow ou prod. Chacun de ces canaux correspond à un référentiel de logiciels Linux. Les instructions de cet article décrivent la configuration de votre appareil pour utiliser l’un de ces référentiels.

Le choix du canal détermine le type et la fréquence des mises à jour proposées à votre appareil. Les appareils dans insiders-fast sont les premiers à recevoir des mises à jour et de nouvelles fonctionnalités, suivis plus tard par les insiders-slow et enfin par prod.

Pour afficher un aperçu des nouvelles fonctionnalités et fournir des commentaires précoces, il est recommandé de configurer certains appareils de votre entreprise pour qu’ils utilisent des insiders rapides ou des insiders lents.

Avertissement

Le basculement du canal après l’installation initiale nécessite la réinstallation du produit. Pour changer de canal de produit : désinstallez le package existant, reconfigurez votre appareil pour utiliser le nouveau canal et suivez les étapes décrites dans ce document pour installer le package à partir du nouvel emplacement.

RHEL et variantes (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky et Alma)

  1. Installez yum-utils s’il n’est pas encore installé :

    sudo yum install yum-utils

  2. Recherchez le package approprié pour votre distribution et votre version. Utilisez le tableau suivant pour vous aider à localiser le package :

    Distribution & version Paquet
    Alma 8.4 et versions ultérieures https://packages.microsoft.com/config/alma/8/prod.repo
    Alma 9.2 et versions ultérieures https://packages.microsoft.com/config/alma/9/prod.repo
    RHEL/Centos/Oracle 9.0-9.8 https://packages.microsoft.com/config/rhel/9/prod.repo
    RHEL/Centos/Oracle 8.0-8.10 https://packages.microsoft.com/config/rhel/8/prod.repo
    RHEL/Centos/Oracle 7.2-7.9 https://packages.microsoft.com/config/rhel/7.2/prod.repo
    Amazon Linux 2 https://packages.microsoft.com/config/amazonlinux/2/prod.repo
    Amazon Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo
    Fedora 33 https://packages.microsoft.com/config/fedora/33/prod.repo
    Fedora 34 https://packages.microsoft.com/config/fedora/34/prod.repo
    Rocky 8.7 et versions ultérieures https://packages.microsoft.com/config/rocky/8/prod.repo
    Rocky 9.2 et versions ultérieures https://packages.microsoft.com/config/rocky/9/prod.repo

    Remarque

    Pour votre distribution et votre version, identifiez l’entrée la plus proche (par principal, puis secondaire) sous https://packages.microsoft.com/config/rhel/.

    Conseil

    Les outils de mise à jour corrective du noyau en ligne, tels que Ksplice ou similaires, peuvent entraîner une stabilité du système d’exploitation imprévisible si Defender pour point de terminaison est en cours d’exécution. Il est recommandé d’arrêter temporairement le démon Defender pour point de terminaison avant d’effectuer une mise à jour corrective du noyau en ligne. Une fois le noyau mis à jour, Defender pour point de terminaison sur Linux peut être redémarré en toute sécurité. Cette action est particulièrement importante pour les systèmes exécutant Oracle Linux.

  3. Dans les commandes suivantes, remplacez [version] et [canal] par les informations que vous avez identifiées :

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo

    Conseil

    Utilisez la commande hostnamectl pour identifier les informations relatives au système, notamment la version [version].

    Par exemple, si vous exécutez CentOS 7 et que vous souhaitez déployer Defender pour point de terminaison sur Linux à partir du prod canal :

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo

    Ou si vous souhaitez explorer de nouvelles fonctionnalités sur des appareils sélectionnés, vous pouvez déployer Defender pour point de terminaison sur Linux sur le canal insider-fast :

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo

  4. Installez la clé publique Microsoft GPG :

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

SLES et variantes

Remarque

Pour votre distribution et votre version, identifiez l’entrée la plus proche (par principal, puis secondaire) sous https://packages.microsoft.com/config/sles/.

  1. Dans les commandes suivantes, remplacez [distribution] et [version] par les informations que vous avez identifiées :

    sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

    Conseil

    Utilisez la commande SPident pour identifier les informations relatives au système, notamment la version [version].

    Par exemple, si vous exécutez SLES 12 et que vous souhaitez déployer Defender pour point de terminaison sur Linux à partir du prod canal :

    sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo

  2. Installez la clé publique Microsoft GPG :

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

Systèmes Ubuntu et Debian

  1. Installez curl s’il n’est pas encore installé :

    sudo apt install curl

  2. Installez libplist-utils s’il n’est pas encore installé :

    sudo apt install libplist-utils

    Remarque

    Pour votre distribution et votre version, identifiez l’entrée la plus proche (par principal, puis secondaire) sous https://packages.microsoft.com/config/[distro]/.

  3. Dans la commande suivante, remplacez [distribution] et [version] par les informations que vous avez identifiées :

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list

    Conseil

    Utilisez la commande hostnamectl pour identifier les informations relatives au système, notamment la version [version].

    Par exemple, si vous exécutez Ubuntu 18.04 et que vous souhaitez déployer Defender pour point de terminaison sur Linux à partir du prod canal :

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list

  4. Installez la configuration du dépôt :

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list

    Par exemple, si vous avez choisi le prod canal :

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list

  5. Installez le gpg package s’il n’est pas déjà installé :

    sudo apt install gpg

    Si gpg n’est pas disponible, installez gnupg.

    sudo apt install gnupg

  6. Installez la clé publique Microsoft GPG :

    • Pour Debian 11/Ubuntu 22.04 et versions antérieures, exécutez la commande suivante.

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null

    • Pour Debian 12, Ubuntu 24.04 et versions ultérieures, exécutez la commande suivante.

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null

    • Pour Debian 13 et versions ultérieures, exécutez la commande suivante.

      curl -sSL https://packages.microsoft.com/keys/microsoft-2025.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null

  7. Installez le pilote HTTPS s’il n’est pas déjà installé :

    sudo apt install apt-transport-https

  8. Mettez à jour les métadonnées du dépôt :

    sudo apt update

Mariner

  1. Installez dnf-plugins-core s’il n’est pas encore installé :

    sudo dnf install dnf-plugins-core

  2. Configurez et activez les dépôts requis.

    Remarque

    Sur Mariner, Insider Fast Channel n’est pas disponible.

    Si vous souhaitez déployer Defender pour point de terminaison sur Linux à partir du prod canal. Utilisez les commandes suivantes

    sudo dnf install mariner-repos-extras
sudo dnf config-manager --enable mariner-official-extras

    Ou si vous souhaitez explorer de nouvelles fonctionnalités sur des appareils sélectionnés, vous pouvez déployer Defender pour point de terminaison sur Linux sur le canal insiders-slow . Utilisez les commandes suivantes :

    sudo dnf install mariner-repos-extras-preview
sudo dnf config-manager --enable mariner-official-extras-preview

Préinstaller le programme d’installation pour l’installation d’un emplacement personnalisé

Ces étapes s’appliquent uniquement si Defender doit être installé dans un emplacement personnalisé. Pour obtenir des instructions détaillées sur l’installation de Microsoft Defender pour point de terminaison dans un emplacement personnalisé, consultez Installation manuelle : configuration de la préinstallation.

Pour plus d’informations sur l’installation sur un emplacement personnalisé, consultez : Activation du déploiement de Defender pour point de terminaison sur Linux vers un emplacement personnalisé.

Installation d’application

Utilisez les commandes des sections suivantes pour installer Defender pour point de terminaison sur votre distribution Linux.

RHEL et variantes (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky et Alma)

sudo yum install mdatp

Remarque

Si vous avez plusieurs référentiels Microsoft configurés sur votre appareil, vous pouvez être précis sur le dépôt à partir duquel installer le package. L’exemple suivant montre comment installer le package à partir du production canal si le canal de insiders-fast dépôt est également configuré sur cet appareil. Cette situation peut se produire si vous utilisez plusieurs produits Microsoft sur votre appareil. Selon la distribution et la version de votre serveur, l’alias de dépôt peut être différent de celui de l’exemple suivant.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES et variantes

sudo zypper install mdatp

Remarque

Si vous avez plusieurs référentiels Microsoft configurés sur votre appareil, vous pouvez être précis sur le dépôt à partir duquel installer le package. L’exemple suivant montre comment installer le package à partir du production canal si le canal de insiders-fast dépôt est également configuré sur cet appareil. Cette situation peut se produire si vous utilisez plusieurs produits Microsoft sur votre appareil.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Systèmes Ubuntu et Debian

sudo apt install mdatp

Remarque

Si vous avez plusieurs référentiels Microsoft configurés sur votre appareil, vous pouvez être précis sur le dépôt à partir duquel installer le package. L’exemple suivant montre comment installer le package à partir du production canal si le canal de insiders-fast dépôt est également configuré sur cet appareil. Cette situation peut se produire si vous utilisez plusieurs produits Microsoft sur votre appareil.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

Remarque

Les redémarrages ne sont PAS nécessaires après l’installation ou la mise à jour de Microsoft Defender pour point de terminaison sur Linux, sauf lorsque vous exécutez auditD en mode immuable.

Mariner

sudo dnf install mdatp

Remarque

Si vous avez plusieurs référentiels Microsoft configurés sur votre appareil, vous pouvez être précis sur le dépôt à partir duquel installer le package. L’exemple suivant montre comment installer le package à partir du production canal si le canal de insiders-slow dépôt est également configuré sur cet appareil. Cette situation peut se produire si vous utilisez plusieurs produits Microsoft sur votre appareil.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Télécharger le package d’intégration

Téléchargez le package d’intégration à partir du portail Microsoft Defender.

Avertissement

Le repackaging du package d’installation de Defender pour point de terminaison n’est pas un scénario pris en charge. Cela peut avoir un impact négatif sur l’intégrité du produit et entraîner des résultats négatifs, y compris, mais sans s’y limiter, le déclenchement d’alertes de falsification et l’échec de l’application des mises à jour.

Importante

Si vous manquez cette étape, toute commande exécutée affiche un message d’avertissement indiquant que le produit n’a pas de licence. mdatp health La commande retourne également une valeur de false.

  1. Dans le portail Microsoft Defender, accédez à Paramètres Points> determinaison> Gestiondes>appareils Intégration.

  2. Dans le premier menu déroulant, sélectionnez Serveur Linux comme système d’exploitation. Dans le deuxième menu déroulant, sélectionnez Script local comme méthode de déploiement.

  3. Sélectionnez Télécharger le package d’intégration. Enregistrez le fichier sous WindowsDefenderATPOnboardingPackage.zip.

    Téléchargement d’un package d’intégration dans le portail Microsoft Defender

  4. À partir d’une invite de commandes, vérifiez que vous disposez du fichier et extrayez le contenu de l’archive :

    ls -l

    total 8
-rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

Configuration du client

  1. Copiez MicrosoftDefenderATPOnboardingLinuxServer.py sur l’appareil cible.

    Remarque

    Initialement, l’appareil client n’est pas associé à un organization et l’attribut orgId est vide.

    mdatp health --field org_id

  2. Exécutez l’une des commandes suivantes, selon votre scénario :

    Remarque

    Pour exécuter cette commande, vous devez avoir python installé ou python3 sur l’appareil en fonction de la distribution et de la version. Si nécessaire, consultez Instructions pas à pas pour l’installation de Python sur Linux.

    Si vous exécutez RHEL 8.x ou Ubuntu 20.04 ou version ultérieure, vous devez utiliser python3. Exécutez la commande suivante :

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py

    Pour les autres distributions et versions, vous devez utiliser python. Exécutez la commande suivante :

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py

  3. Vérifiez que l’appareil est maintenant associé à votre organization et signale un identificateur de organization valide :

    mdatp health --field org_id

  4. Vérifiez l’status d’intégrité du produit en exécutant la commande suivante. Une valeur de retour de true indique que le produit fonctionne comme prévu :

    mdatp health --field healthy

    Importante

    Lorsque le produit démarre pour la première fois, il télécharge les dernières définitions anti-programme malveillant. Ce processus peut prendre jusqu’à quelques minutes en fonction de la connectivité réseau. Pendant ce temps, la commande mentionnée précédemment retourne une valeur de false. Vous pouvez case activée la status de la mise à jour de définition à l’aide de la commande suivante :

    mdatp health --field definitions_status

    Vous devrez peut-être également configurer un proxy après l’installation initiale. Consultez Configurer Defender pour point de terminaison sur Linux pour la découverte de proxy statique : configuration post-installation.

  5. Exécutez un test de détection antivirus pour vérifier que l’appareil est correctement intégré et qu’il signale au service. Effectuez les étapes suivantes sur l’appareil nouvellement intégré :

    1. Assurez-vous que la protection en temps réel est activée (indiqué par le résultat de l’exécution de true la commande suivante) :

      mdatp health --field real_time_protection_enabled

      S’il n’est pas activé, exécutez la commande suivante :

      mdatp config real-time-protection --value enabled

    2. Pour exécuter un test de détection, ouvrez une fenêtre Terminal, puis exécutez la commande suivante :

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    3. Vous pouvez exécuter d’autres tests de détection sur des fichiers zip à l’aide de l’une des commandes suivantes :

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

      Les fichiers doivent être mis en quarantaine par Defender pour point de terminaison sur Linux.

    4. Utilisez la commande suivante pour répertorier toutes les menaces détectées :

      mdatp threat list

  6. Exécutez un test de détection EDR et simulez une détection pour vérifier que l’appareil est correctement intégré et qu’il signale au service. Effectuez les étapes suivantes sur l’appareil nouvellement intégré :

    1. Vérifiez que le serveur Linux intégré apparaît dans Microsoft Defender XDR. S’il s’agit de la première intégration de la machine, l’affichage peut prendre jusqu’à 20 minutes.

    2. Téléchargez et extrayez le fichier de script sur un serveur Linux intégré, puis exécutez la commande suivante : ./mde_linux_edr_diy.sh

      Après quelques minutes, une détection doit être déclenchée dans Microsoft Defender XDR.

    3. Examinez les détails de l’alerte, chronologie machine et effectuez vos étapes d’investigation classiques.

Dépendances de package externes

Pour plus d’informations, consultez Prérequis pour Microsoft Defender pour point de terminaison sur Linux : Dépendance de package externe.

Résoudre des problèmes d’installation

Si vous rencontrez des problèmes d’installation, pour la résolution automatique des problèmes, procédez comme suit :

  1. Pour plus d’informations sur la recherche du journal généré automatiquement lorsqu’une erreur d’installation se produit, consultez Problèmes d’installation du journal.

  2. Pour plus d’informations sur les problèmes d’installation courants, consultez Problèmes d’installation.

  3. Si l’intégrité de l’appareil est false, consultez Problèmes d’intégrité de l’agent Defender pour point de terminaison.

  4. Pour connaître les problèmes de performances du produit, consultez Résoudre les problèmes de performances.

  5. Pour les problèmes de proxy et de connectivité, consultez Résoudre les problèmes de connectivité cloud.

Pour obtenir le support de Microsoft, ouvrez un ticket de support et fournissez les fichiers journaux créés à l’aide de l’analyseur client.

Comment basculer entre les canaux

Par exemple, pour changer de canal de Insiders-Fast à Production, procédez comme suit :

  1. Désinstallez la Insiders-Fast channel version de Defender pour point de terminaison sur Linux.

    sudo yum remove mdatp

  2. Désactiver le canal Insiders-Fast Defender pour point de terminaison sur Linux

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Réinstallez Microsoft Defender pour point de terminaison sur Linux à l’aide de Production channelet intégrez l’appareil dans le portail Microsoft Defender.

Guide pratique pour configurer des stratégies pour Defender pour point de terminaison sur Linux

Pour configurer les paramètres antivirus et EDR, consultez les articles suivants :

Désinstaller Defender pour point de terminaison sur Linux

Pour une désinstallation manuelle, exécutez la commande suivante pour votre distribution Linux.

  • sudo yum remove mdatp pour RHEL et les variantes (CentOS et Oracle Linux).
  • sudo zypper remove mdatp pour SLES et les variantes.
  • sudo apt purge mdatp pour les systèmes Ubuntu et Debian.
  • sudo dnf remove mdatp pour Mariner

Contenu connexe

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.

  • Last updated on